Mitigera VLAN attacker Mitigera ARP attacker
En DHCP Starvation attack syftar till att orsaka en DoS (Denial of Service) för klienter genom att överbelasta DHCP-servern med falska förfrågningar. Angripare använder verktyg som Gobbler, som skickar många förfrågningar med olika MAC-adresser. Ett effektivt skydd mot denna typ av attack är att använda port security för att begränsa antalet MAC-adresser per port.
En annan allvarlig attack är DHCP spoofing attacken.
En DHCP spoofing attack sker när en obehörig DHCP-server, kallad rogue DHCP-server, placeras i nätverket. Den delar ut falska IP-adresser till klienter, vilket gör att angriparen kan styra nätverkstrafiken genom sin egen enhet. Detta låter angriparen övervaka, manipulera eller blockera trafiken, vilket leder till felaktiga nätverksinställningar och äventyrar nätverkets säkerhet.
DHCP spoofing kan förebyggas genom att aktivera DHCP snooping. Detta säkerhetsverktyg filtrerar DHCP-trafik och tillåter endast betrodda DHCP-servrar att dela ut adresser, vilket skyddar nätverket från obehöriga servrar och attacker.
DHCP snooping och porttyper
DHCP snooping fungerar genom att skilja mellan två typer av portar: trusted (betrodda) och untrusted (icke betrodda). Detta hjälper till att skydda nätverket från obehöriga DHCP-servrar och felaktig nätverkskonfiguration.
- Trusted ports (Betrodda portar):
- Dessa är portar som ansluter till legitima nätverksenheter, som switchar, routrar eller DHCP-servrar.
- DHCP-svar och andra viktiga nätverksmeddelanden tillåts passera genom dessa portar.
- Untrusted ports (Icke betrodda portar):
- Dessa är portar som ansluter till externa enheter eller slutnoder, som datorer eller skrivare.
- Som standard behandlas alla åtkomstportar som untrusted.
- DHCP-svar från dessa portar blockeras för att förhindra att obehöriga servrar (rogue DHCP-servrar) distribuerar falska IP-adresser.
Genom att definiera trusted och untrusted portar kan DHCP snooping effektivt filtrera DHCP-trafik och skydda nätverket mot DHCP-spoofing och andra attacker.
DHCP bindningstabell
En DHCP-bindningstabell är en databas som associerar:
- MAC-adresser: Den unika identifieraren för en enhet i nätverket.
- IP-adresser: Den nätverksadress som enheten tilldelats av DHCP-servern.
Tabellen kan också innehålla ytterligare information som:
- VLAN-ID: Vilket VLAN enheten är ansluten till.
- Portnummer: Vilken fysisk port på switchen enheten är ansluten till.
- Leasetime: Hur länge IP-adressen är giltig innan den måste förnyas.
DHCP Snooping använder tabellen för att kontrollera att varje paket som skickas på nätverket kommer från en enhet med en giltig MAC-IP-kombination. Om trafiken inte matchar någon post i tabellen, blockeras den.
Tabellen används av funktioner som Dynamic ARP Inspection (DAI) för att förhindra ARP spoofing. Genom att validera att ARP-paketens IP- och MAC-adresser matchar bindningstabellen kan obehörig manipulation av trafik stoppas.
Här nedan ett exempel på en DHCP bindningstabell:
DHCP Binding Table
| MAC Address | IP Address | VLAN | Port | Lease Time |
|---|---|---|---|---|
| 00:1A:2B:3C:4D:5E | 192.168.1.100 | 10 | Fa0/1 | 12:00:00 |
| 11:22:33:44:55:66 | 192.168.1.101 | 10 | Fa0/2 | 11:45:00 |
| AA:BB:CC:DD:EE:FF | 192.168.1.102 | 20 | Fa0/3 | 10:30:00 |
Steg för att aktivera DHCP snooping
- Aktivera DHCP-snooping i global konfigurationsläge:
-
ip dhcp snooping
-
- Konfigurera betrodda portar
-
interface [portnummer]
-
ip dhcp snooping trust
-
- Begränsa DHCP-meddelanden per sekund på icke betrodda portar
-
interface [portnummer]
-
ip dhcp snooping limit rate [antal meddelanden per sekund]
-
- Aktivera DHCP-snooping för specifika VLAN
-
ip dhcp snooping vlan [VLAN-nummer eller intervall]
-
Med dessa åtgärder kan du minska risken för DHCP-baserade attacker och skydda nätverket.
Exempel på DHCP Snooping konfiguration
Referens topologin för detta exempel på DHCP snooping visas i figuren. Här är F0/5 en icke betrodd port eftersom den är ansluten till en dator, medan F0/1 är en betrodd port eftersom den är ansluten till DHCP-servern.
Här är ett exempel på hur DHCP snooping konfigureras på switchen S1:
Aktivera DHCP snooping för hela enheten S1(config)# ip dhcp snooping Märk interfacet som är anslutet till DHCP-servern som betrodd (trusted) S1(config)# interface f0/1 S1(config-if)# ip dhcp snooping trust S1(config-if)# exit Lägg till en gräns på 6 DHCP förfrågningar per sekund på icke betrodda portas fa0/5 till fa0/24 S1(config)# interface range f0/5 - 24 S1(config-if-range)# ip dhcp snooping limit rate 6 S1(config-if-range)# exit Aktivera DHCP snooping för VLAN 5, 10, 05, 51 och 52 S1(config)# ip dhcp snooping vlan 5,10,50-52 S1(config)# end S1#
Använd kommandot show ip dhcp snooping i EXEC-läget för att verifiera att DHCP-snooping är aktiverat. För att se vilka klienter som har mottagit DHCP-information, använd kommandot show ip dhcp snooping binding, som visas i exemplet.
Notera: DHCP-snooping krävs även av Dynamic ARP Inspection (DAI).
S1# show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 5,10,50-52 DHCP snooping is operational on following VLANs: none DHCP snooping is configured on the following L3 Interfaces: Insertion of option 82 is enabled circuit-id default format: vlan-mod-port remote-id: 0cd9.96d2.3f80 (MAC) Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Verification of giaddr field is enabled DHCP snooping trust/rate is configured on the following Interfaces: Interface Trusted Allow option Rate limit (pps) ----------------------- ------- ------------ ---------------------- FastEthernet0/1 yes yes unlimited Custom circuit-ids: FastEthernet0/5 no no 6 Custom circuit-ids: FastEthernet0/6 no no 6 Custom circuit-ids: S1# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:03:47:B5:9F:AD 192.168.10.11 193185 dhcp-snooping 5 FastEthernet0/5